Призрак в Сети

Учитывая, насколько просто нам удалось замести следы, я практически не сомневался, что Шимми увидит какой-нибудь верный признак визита незваных гостей. Не может быть, чтобы мы ничего не упустили.

Просматривая старую переписку Шимми, я наткнулся на сообщения, которыми он обменивался с моим старинным недругом Джоном Маркоффом, который писал для New York Times статейки на темы, связанные с новыми технологиями. Эти двое переписывались обо мне еще с начала 1991 года. Они обменивались информацией о моих подвигах. Например, меня заинтересовала серия писем 1992 года. Из переписки следовало, что Шимми взял на себя труд изучить мою радиолюбительскую лицензию, позывной N6NHG. Кроме того, в одном письме он спросил Маркоффа, есть ли в Федеральной комиссии связи правило, которое запрещает выдавать радиолюбительские лицензии лицам, обвиняемым в серьезных уголовных преступлениях.

Почему эти двое так мною интересовались, по-прежнему оставалось загадкой. Я никогда не встречался с Шимми, никогда не контактировал с ним, если не считать последних взломов его системы.

Почему же их так волновали мои дела?

По крайней мере в одном я оказался прав: Шимми очень быстро понял, что мы его взломали. Поскольку я и JSZ хотели всего лишь заполучить его файлы, мы не заметили, что у него на компьютере работает программа tcpdump – сетевой инструмент, который отслеживает и фиксирует весь сетевой трафик. Еще мы не заметили программу cron. Она периодически отправляла его системные журналы ассистенту Шимми, Эндрю Гроссу. Гросс заметил, что размер журналов уменьшился, и сообщил Шимми, что происходит что-то подозрительное. Стоило Шимми просмотреть журналы, как он понял: его взломали.

Это уже не имело особого значения. У нас были его файлы, и мы кропотливо изучали их целыми днями и даже неделями.

Почему же Шимми пользовался сетевым инструментом, который фиксировал весь трафик, идущий через его сервер? Паранойя? Или это была машина-приманка? Шимми – слишком хороший специалист по компьютерной безопасности. Он знал, что рано или поздно его система падет под натиском какой-нибудь новой, достаточно умной атаки. Я подумал, что та машина, на которую мы забрались, могла играть роль обманчиво доступной наживки. Шимми мог отслеживать все атаки, которым она подвергалась, а потом изучать методы, примененные при этих атаках. Однако в таком случае почему он оставил на машине-приманке свои файлы и даже инструмент для прослушивания сетей bpf (это аббревиатура от Berkeley Packet Filter)? [158] . Подобную программу он написал для ВВС США. Ее можно было внедрять непосредственно в операционную систему без всякой перезагрузки.